범위는 해당 응용 프로그램에서 사용하는 일부 리소스를 나머지 리소스와 구분하는 응용 프로그램 내의 가상의 하위 구분입니다. 범위를 사용하여 의도하지 않은 리소스 공유를 방지할 수 있고 감사 및 위임을 지원할 수 있습니다. 반드시 범위를 사용해야 하는 것은 아닙니다.

범위는 폴더, AD DS(Active Directory 도메인 서비스) 또는 AD LDS(Active Directory Lightweight Directory Services)의 컨테이너, 파일 마스크를 적용한 파일 모음(예: *.doc), URL 또는 응용 프로그램과 원래의 권한 부여 저장소가 액세스할 수 있는 모든 항목을 나타낼 수 있습니다. 그러나 범위는 추상적인 개념입니다. 즉, 권한 부여 관리자에서 만들어진 정의이지만 파일 시스템의 실제 폴더나 AD DS의 실제 컨테이너는 아닙니다.

응용 프로그램 전체에 적용하지 않으려는 권한 부여 관리자 그룹, 역할 할당, 역할 정의 또는 작업 정의가 있을 경우 이러한 것들을 범위 수준에 만들면 됩니다. 범위를 포함하는 응용 프로그램은 범위 이름을 인식할 수 있어야 합니다. 예를 들어 파일 기반의 응용 프로그램에서는 파일 이름이나 경로를 포함하는 범위 이름을 사용해야 합니다. 웹 기반의 응용 프로그램의 경우 URL 기반의 범위 이름을 사용해야 합니다. 레지스트리 응용 프로그램의 범위 이름은 레지스트리 하이브에 기반할 수 있으며 Active Directory 범위 이름은 조직 구성 단위를 지정할 수 있습니다. 범위 수준에서는 작업을 정의할 수 없습니다.

범위 감사

범위 수준에서 권한 부여 관리자 런타임 감사를 제어할 수 없습니다. AD DS에 저장된 권한 부여 저장소에 들어 있는 범위에 대해서는 권한 부여 관리자 권한 부여 저장소 변경 감사를 제어할 수 있습니다. 자세한 내용은 권한 부여 관리자 감사 이해를 참조하십시오.

범위 위임

다음 두 조건을 모두 충족시킬 경우 다른 사용자에게 범위의 관리를 위임할 수 있습니다.

  • 권한 부여 저장소는 AD DS, AD LDS 또는 Microsoft SQL Server에 저장해야 합니다.

  • 위임할 범위 내에 정의된 작업 또는 역할 정의에는 권한 부여 규칙이 사용되지 않습니다.


목차